跳至主内容

搜索配置

安全数据湖 允许自定义搜索查询选项,例如限制可选时间范围或配置显示的相对时间范围列表。

所有搜索配置设置均可通过 系统 > 配置 页面位于 搜索 部分。

查询时间范围限制

有时存储在 安全数据湖 中的数据量非常庞大且时间跨度广泛(例如多年)。为防止意外运行可能消耗过多资源的搜索查询,您可以限制搜索查询可运行的时间范围。

使用此功能时,超过配置查询时间范围限制的搜索查询时间范围将自动调整为给定限制。

Query Time Range.png

查询时间范围限制是采用 持续时间 格式,遵循ISO 8601基本格式 P<日期>T<时间> 并符合以下规则:

标识符

描述

P

持续时间标识符(表示周期)置于持续时间表示的开头

Y

年份标识符,跟随年数值后

M

月份标识符,跟随月数值后

W

周数标识符,跟随周数值后

D

天数标识符,跟随天数值后

T

时间标识符,置于时间组成部分之前

H

小时标识符,跟随小时数值后

M

分钟标识符,跟随分钟数值之后

S

秒钟标识符,跟随秒钟数值之后

示例:

ISO 8601持续时间

描述

P30D

30天

PT1H

1小时

P1DT12H

1天12小时

关于ISO 8601持续时间格式的更多细节可查阅 此处 .

时间范围预设

相对时间范围选择器 中显示的时间范围列表也可配置。它由一组可在搜索页面选择的ISO 8601持续时间组成。

Time Range Presets.png

启用/禁用搜索结果高亮

使用搜索结果高亮会导致搜索资源消耗略微增加。您可通过 graylog.conf 配置文件中的参数来启用或禁用此功能,该文件位于 安全数据湖 节点上: 

allow_highlighting = true

查看查询字符串历史

安全数据湖 允许您检索近期查询字符串历史记录,以便复用其他事件回放和仪表板中使用过的查询语句。搜索栏支持自动补全功能,并会显示您过去输入过的相关搜索查询。点击这些查询将替换当前查询字符串。

查询历史按钮位于搜索栏末端,灯泡图标右侧。所有查询均保存至数据库,点击 搜索历史 按钮后出现的下拉菜单可检索过往查询记录。历史搜索按时间降序排列,从最新到最旧。

search query string history 6.0.png

提示

快捷键 alt+空格 可显示查询输入建议。当输入框为空时将展示查询历史建议。若已有输入内容,请使用 alt+ctrl+h .

查询字符串历史功能支持筛选并复用过往搜索记录。该功能同样适用于仪表板和小工具。查询记录按用户隔离,他人不可见,但可在仪表板间共享。详见 已保存搜索 获取更多信息。

时间范围选择器

时间范围选择器支持从 安全数据湖 中提取特定时段数据,用于分析环境影响问题。该工具最重要的功能是提供多种时间范围筛选方式,位于 搜索 页面左上角。

该工具可帮助构建实现以下功能的查询:

  • 识别并响应数据泄露、流程中断及其他安全事件

  • 系统与网络故障排查

  • 分析用户行为特征

  • 执行取证调查

时间范围选项

点击时钟图标打开窗口,对话框提供以下范围类型:

  • 相对时间

  • 绝对时间

  • 关键词

相对时间范围选择器

相对 时间范围选择器允许您搜索相对于 当前时间 或您选择的另一个日期的时间范围内的消息。此选择器提供了多种相对时间范围选项,可满足大多数搜索需求,包括 全部时间 选项。

Relative.png

了解此过滤器的工作原理:

  • 起始 字段中,您可以通过下拉菜单输入数值并选择时间单位。可选单位包括秒、分钟、小时和天。为方便起见,您可以点击 预设时间 按钮访问以分钟、小时和天为单位的预设时间。若选择 所有消息 ,仪表板将显示从首次数据摄入日期起的所有数据。

  • 截止 日期允许相对时间范围在特定时段结束,而非默认截止到当前时间/日期。

绝对时间范围选择器

当您确切知道搜索边界时,请使用绝对时间范围选择器。此选项显示包含两个选择的折叠面板:

  • 日历

  • 时间戳

在日历选项中,使用沙漏图标可在一天开始时间(00:00:00.000)与结束时间(23:59:59.99)之间跳转。

要更详细理解日历功能,请考虑 截止 起始 :

  • 截止 默认禁用所选日期之前的所有日期 起始 日期。

  • 起始 日期将禁用所有更早日期(若配置了 查询时间范围限制 (位于 系统 > 配置 页面)。

absolute.png

您可以使用 魔法棒图标 (适用于日历和时间戳)。

  • 日历 模式下,该图标会将 时间 更新为当前时间,但不会修改日历中的日期。

  • 时间戳 模式下,该图标会将整个 时间戳 更新为当前日期和时间。

关键词时间范围选择器

安全数据湖 提供关键词时间范围选择功能,允许用自然语言指定搜索时间段(如 过去一小时 过去90天 )。网页界面会显示将用于搜索的两个实际时间戳预览。

keyword.png

以下是部分可能取值的示例。

  • "上月"搜索范围为上月首日至本月最后一天

  • "4小时前"搜索范围为4小时前至当前时刻

  • "4月1日至2天前"搜索范围为4月1日至2天前

  • "昨天午夜+0200至今天午夜+0200"搜索范围为+0200时区的昨天午夜至今天午夜

  • 该时区+0200对应UTC时间22:00

时间范围解析采用 natty自然语言解析器 ,具体用法请参阅其文档

注意

Natty 4.2+版本说明:4.2版本后已修复natty部分错误/异常情况。当natty解析查询字符串中的时间部分(如"上周一")时,会采用参考时间。这会导致生成的时间戳位于当日中午,与直觉相悖且不符合预期。因此从现在起,当natty解析查询中的时间部分时,该时间将自动对齐至当日开始和结束时刻。

添加自定义时间范围预设

可自定义关键词时间范围并添加到现有选项中,具体有两种实现方式

通过时间范围选择器菜单

  1. 时间范围选择器 菜单中,选择 相对 , 绝对 关键词 作为预设类型

  2. 输入所需配置后点击 更新时间范围 .

通过配置菜单

  1. 在配置界面中点击 配置预设 (位于 时间范围选择器 下拉菜单。此外,您也可以前往 系统 > 配置 并选择 编辑配置 .

  2. 点击 添加选项 位于 搜索时间范围预设 列表底部。输入描述后点击 更新配置 .

  3. 如需添加更多时间范围,请点击 添加选项 并编辑新时间范围,随后点击 更新配置 .

管理自定义时间范围预设

您可根据优先级调整列表中条目的顺序。选中行首的圆点并上下拖动即可。

Edit Custom Presets.png

您还可以通过 时间范围选择器 下拉菜单访问自定义时间范围预设,其中将显示您在定制时输入的描述。

常用时间范围可保存并添加到 搜索时间范围预设 列表中。操作方法是点击菜单右上角的 另存为预设 按钮,输入描述后点击 保存预设 若输入的时间范围已存在,系统将提示您。在时间范围选择器中,点击 加载预设 即可调用已保存的预设。

本节内容 :